Weekly Highlights del 28 aprile

Scopri le ultime tendenze in cybersecurity e data protection con i nostri Weekly Highlights! Questa settimana…

TikTok vietato negli Usa e nel mirino dell’Ue per i rischi per la salute mentale degli utenti

Dopo il procedimento formale aperto a febbraio per valutare se TikTok garantisca in maniera sufficiente la tutela dei minori, la Commissione europea ha aperto un secondo procedimento formale contro TikTok ai sensi del Digital Services Act (Dsa) perché l’app “Lite” della piattaforma di video sharing cinese comporterebbe “rischi di gravi danni alla salute mentale degli utenti” derivanti dal programma a premi che “può indurre dipendenza”.
Fonte: Federprivacy
https://www.federprivacy.org/informazione/societa/tiktok-a-un-passo-dal-bando-negli-usa-e-nel-mirino-dell-ue-perche-puo-comportare-gravi-rischi-per-la-salute-mentale-degli-utenti

Il sito di Nespresso utilizzato per attacchi di Phishing

I ricercatori di sicurezza informatica di Perception Point hanno recentemente scoperto una vulnerabilità sul sito web del produttore di macchine da caffè e capsule Nespresso, che viene attivamente utilizzata dai truffatori per reindirizzare gli utenti a siti dannosi.
Fonte: Red Hot Cyber
https://www.redhotcyber.com/post/un-caffe-con-gli-hacker-il-sito-di-nespresso-utilizzato-per-attacchi-di-phishing/

Hacker di Anonymous attaccano le Forze di Difesa Israeliane

A seguito di un sospetto attacco informatico da parte di un gruppo di hacker associato al collettivo Anonymous, le Forze di difesa israeliane (IDF) si trovano ad affrontare accuse secondo cui dati sensibili sono stati compromessi.
Fonte: TheJerusalemPost
https://www.jpost.com/international/article-797925

WhatsApp non disattiverà la crittografia E2E in India

L’India pretende la sua disattivazione della crittografia E2E per poter accedere ai messaggi su WhatsApp. Se l’obbligo verrà imposto dal giudice, il servizio verrà chiuso.
Fonte: Punto Informatico
https://www.punto-informatico.it/whatsapp-non-disattivera-crittografia-e2e-india/

Vulnerabilità WP-Automatic: Allarme sicurezza per i siti WP

Gli esperti di WPScan hanno identificato una grave minaccia nel plug-in WP-Automatic, specificamente tracciata come CVE-2024-27956. Questa vulnerabilità di SQL Injection permette agli hacker di bypassare l’autenticazione, inserire script dannosi e prendere il controllo totale del sito colpito.
Fonte: sicurezza.net
https://sicurezza.net/cyber-security/vulnerabilita-wp-automatic-allarme-sicurezza-per-i-siti-wp/

Sintesi riepilogativa delle campagne malevole nella settimana del 20 – 26 Aprile 2024

In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 27 campagne malevole, di cui 21 con obiettivi italiani e 6 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 305 indicatori di compromissione (IOC) individuati.
https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-20-26-aprile-2024/

La settimana Cibernetica del 28 aprile 2024

Riepilogo delle notizie pubblicate dallo CSIRT Italia dal 22 aprile al 28 aprile 2024
https://www.csirt.gov.it/contenuti/la-settimana-cibernetica-del-28-aprile-2024

Le CVE più pericolose della settimana

CVE-2024-32659 – 9.8/10
IreeRDP is a free implementation of the Remote Desktop Protocol. FreeRDP based clients prior to version 3.5.1 are vulnerable to out-of-bounds read if ((nWidth == 0) and (nHeight == 0)). Version 3.5.1 contains a patch for the issue. No known workarounds are available.
https://www.opencve.io/cve/CVE-2024-32659